Qubes 项目的负责人 Joanna Rutkowska 在记录 Qubes 所依赖的概念方面做得很好。因此，我强烈建议您从源头获取信息，尤其是阅读以下两个文档：

• 软件划分与物理分离（或者为什么 Qubes OS 不仅仅是虚拟机的随机集合）
• Qubes OS 与...有何不同？

与运行多个 VMWare 实例相比，Qubes 不仅带来了用户体验的提升，而且还带来了更细粒度的隔离。

粗略地解释一下，您描述的模型就像将一组较小的盒子（VM）放在一个大盒子（主机系统）中。所有的虚拟机都将通过主机系统访问任何设备（网络、USB、DVD阅读器等），主机系统既控制虚拟机、设备、用户界面，又直接面向互联网。

Qubes 背后的想法不是将小盒子存储到一个超强的大盒子中，而是将小盒子配置在一种虚拟本地网络中，这样它们在一起看起来就像一个大盒子，没有一个，也没有使用一个。

需要看起来像用户已经知道的东西对于用户的采用很重要。但在幕后，系统的所有部分都意味着彼此隔离。主要区别之一是用户界面不面向网络并且没有互联网连接。专用于面向网络的 VM 由另一个专用于防火墙的 VM 与其余 VM 隔离。Qubes 3.0 带来了一个期待已久的功能，允许拥有一个专用于 USB 设备的 VM。

从攻击者的角度来看这一点：

• 如果我想破解您基于 Windows 的解决方案，我所要做的就是设法利用您的 Windows 主机（单点故障）。一旦我得到它，我就可以启动一切，这应该相对容易，因为它面向网络，允许从远程漏洞利用到反向 shell 特洛伊木马的广泛可能性。

• 如果我想破解 Qubes，我别无选择，只能从访客位置开始，因为 Xen 和主 Dom0 域都与外部世界没有任何直接联系，并且从那里找到一种从访客迁移到访客的方法或设法利用 Xen 内核或访问在 Dom0 中运行的用户界面（知道来宾将其 X 服务器替换为专门设计的强化显示服务器，以精确避免这种可能性。所有 VM 间通信通常都经过精心设计，以减少任何暴露区域到最低限度），并建立适当的隧道以便仍然能够与您的恶意软件通信（进入是不够的，您还希望数据能够出去，这在面向网络的系统上是微不足道的，但是在隔离的来宾系统上要困难得多）。

我只想补充一点，虽然 Qubes OS 是最知名和最有记录的，据了解，它是唯一实现这一概念的开源计划，但该概念本身并不是全新的和革命性的东西。例如， Polyxene是一个专有系统，采用完全相同的方法来保护防御级桌面系统。我这样说只是为了强调这样一个事实，即讨论此类技术超出了讨论开源和专有操作系统的范围。

作为一名高度关注安全性以及维护普遍言论自由和个人隐私的 IT 技术人员，这只能通过匿名来保证，我一直在寻找一个安全的操作系统。我已经尝试了所有这些，发现 Qubes 是最安全和匿名的操作系统（远远超过 Tails、Whonix 或任何其他操作系统）。建立在加密、Tor 和隔离的安全和虚拟化之上，可能性是无限的，从运行 Windows 操作系统和 Linux 甚至 Android 操作系统，同时仍然是匿名的，并受到 Qubes 操作系统的安全和匿名功能的保护。

Qubes 默认加密，允许完整的 Tor OS 隧道、划分 VM 计算（安全地隔离用户和彼此之间的每个漏洞点（网络、文件系统等））等等。

Qubes 所基于的虚拟化技术甚至使您能够安全、匿名地并行运行 Linux 和 Windows 应用程序（完整的操作系统或单独的程序！）。Linux 和 Windows 的所有特性和功能，没有各自的安全问题，包括 Tor、隔离安全、加密、可选的类似 Tails OS 的可处置性（备份/恢复）等等！